CC BY
15
2014
НАУЧНЫЙ ВЕСТНИК МГТУ ГА
№ 209
УДК 629.7.058
ДИНАМИЧЕСКОЕ МОДЕЛИРОВАНИЕ СЦЕНАРИЕВ ВОЗНИКНОВЕНИЯ РИСКОВЫХ СОБЫТИЙ ПРИ ПОЛЕТАХ ВОЗДУШНЫХ СУДОВ В РЕЖИМЕ «УХОДА НА 2-й КРУГ»
Е.А. КУКЛЕВ, Ю.Ю. МИХАЛЬЧЕВСКИЙ, М.Ю. СМУРОВ
Представлены способы построения разветвленных процессов смены дискретных состояний системы «Экипаж-ВС-Среда-УВД» при моделировании технологии управления ВС после принятия экипажем решения «ухода на посадку на 2-м круге» по рекомендациям диспетчера системы УВД.
Ключевые слова: опасное состояние, угроза, рисковое событие, риск.
Введение
Технологии управления полетом воздушного судна (ВС) при «уходе на 2-й круг» на посадку отработаны в совершенстве для разных типов воздушных судов и регламентированы в эксплуатационных документах. Например, в руководстве по летной эксплуатации (РЛЭ) представлены все методические и технические средства, необходимые для обучения авиационных специалистов разного профиля. Тем не менее уровень безопасности полетов в указанном режиме, оцениваемый в терминах рисков по ИКАО [1], недостаточно высокий [2]. Это свидетельствует об определенных проблемах выполнения рассматриваемого режима полетов ВС. В докладе [2] (г. Брюссель) указаны основные возможные ключевые факторы опасности в реальных сценариях развития событий. В [2] указано на необходимость отдельного рассмотрения первоочередных вопросов, касающихся повышения безопасности полетов и совершенствования процедур взаимодействия экипажей ВС со службами управления воздушного движения (УВД) и организации воздушного движения (ОрВД) в целом при полетах ВС с «уходом на 2-й круг» при посадке.
Одно из направлений решения указанных проблем может быть основано на применении методов динамического моделирования (МДМ) по способам ECAST [3], предназначенных для идентификации опасностей и рисков возникновения неблагоприятных последствий (ущербов) в ветвящихся сценариях смены событий в полете, связанных с отклонением параметров реальных технологий управления ВС от номинальных (штатных) технологий. Примером этого (из сети Интернет) может служить катастрофа ВС типа В-737, принадлежащего казанскому авиапредприятию [4].
Рекомендуемый в [3] МДМ вполне может быть применен для исследования указанных вопросов с помощью известного подхода по ISO и FMEA [5]. При анализе «деревьев событий» производится оценка по [6] критичности результатов по уровню рисков с учетом рекомендации Annex-19 [1; 6].
В данной статье дается развитие положений работ [5; 6], использовано определение понятия «риска» как меры опасности (по ИПУ РАН), а также дается анализ правил проверки условий существования функциональных свойств исследуемых процессов в рекомендуемых технологиях управления ВС. Применяется подход в виде четкой или нечеткой логики без вероятностных показателей. Последнее достаточно справедливо, если исследуемые системы могут
считаться высоконадежными по [5; 6] в смысле требований классической теории надежности (ТН), что было указано в [5].
Постановка задачи
На основе «брюссельского доклада» [2] могут быть выделены 2 главных категории групп опасных факторов, выявляемых при идентификации с помощью МДМ, для ситуаций LOC/CFIT:
• категория 1 (отклонение от схем в виде невыполнения команд и возникновения временных задержек в процедурах);
• категория 2 (непрофессионализм, ошибки УВД).
В связи с данной постановкой задачи может быть разработана типовая схема последовательности смены дискретных состояний системы с множеством модулей на рис. 1 для ВС типа В-737 на основе информации из сети Интернет [7].
Типовая (гипотетическая) схема возникновения различных событий в системе в целом «Экипаж-ВС-Внешняя среда-УВД» представлена на рис. 1 с расшифровкой сущности рабочих операций при типовых технологиях управления ВС с использованием модулей процедур и команд с номерами 1-8.
В расчетной модели принимается, что имеет место схема последовательного соединения некоторых функциональных звеньев - элементов надежности, обеспечивающих функции всей цепочки с результатом в виде благополучного исхода.
Рис. 1. Штатная (типовая возможная по РЛЭ - Интернет) технология управления полетом ВС в режиме «уход на 2-й круг»
Один из важных модулей - это № 4, определяющий виды управления ВС с использованием кортежа инструментов следующего вида
(а1, -автопилот №1; а2 - автопилот №2; в — ручное пилотирование}. (1)
Вся цепочка модулей на рис. 1 определяет сценарий полета по штатной (РЛЭ) технологии. Но возможно и возникновение отклонений от требований типовых процедур. При этом в РЛЭ для В-737 перечислены возможные изменения в сценариях полета и указаны последствия, которые могут возникнуть при неисполнении штатных процедур схемы на рис. 1.
Из рис. 1 видно, что данная цепь последовательного соединения некоторых физических
функциональных элементов системы в1 Е Е, взятых из ограниченного множества Е, показывает, что Е является четким. Поэтому оно может быть принято за универсальное множество физических функциональных элементов системы со своими четкими предикатами. Принимается, что каждому е1 Е Е на рис. 1 сопоставляется дискретное состояние ^ Е Е с четкой логи-
кой определения сущностей состояний через значения логических переменных вида "О" -"норма" (функциональность), "1" - "функциональный отказ" в форме
е е Е ^ qj (I )е й н, (2)
где - «следствие»; Ьк - цепь состояний в МДМ; Нк - ущерб (или цена риска).
При идентификации опасностей по ЕСЛБТ [3] с помощью МДМ предлагается принять пре-диктивный метод Лппех-19 [1; 6] для определения в сценариях критичности отдельных путей, ведущих к катастрофе или к аварии. Для этого необходимо найти некоторые рисковые события и выявить в схеме на рис. 1 точки возможного разветвления технологического процесса на пути с возможными негативными последствиями. Понятие безопасности предлагается принять по Лппех-19 [1; 2] (РУБП-9859), в виде состояния с приемлемым риском возникновения опасностей. Очевидно, что вероятности возникновения редких рисковых событий в одиночных катастрофах неизвестны. Но это не имеет значения, т.к. через величину ущерба легко определяется
цена риска в нечетких множествах состояний {qj „} из й.
Определение уровня функциональности системы
В соответствии с принятой постановкой задачи необходимо искать цепи событий, образующих пути к критическим событиям. Из приведенных схем видно, что прогнозируемый (пре-диктивный) физический результат типа аварии с серьезными последствиями зависит только от последовательности (порядка и номеров) сменяющихся событий. Мера возможности таких событий совершено не имеет значения в одиночных (конкретных) опытах по испытанию высоконадежных систем.
Надежность систем и уровень функциональности не являются эквивалентными по сущности, поскольку уровень надежности зависит от степени резервирования. Но качество функционирования не зависит от числа каналов связи [6].
В каждом модуле на схеме рис. 1 имеются свои внутренние связи и элементы надежности, которые можно рассматривать как физические ключи (выключатели), пропускающие или не пропускающие е Е сигналы.
На рис. 1 показано, что выделено 8 элементов типа qi е Е из заданного универсального множества Е. Очевидно, что функционирование системы не нарушается, если все элементы работают, т.е. система с заданной технологией в целом «не отказывает» до тех пор, пока имеется избыточность элементов. При этом функции работоспособности Ф и уравнение функциональности всех е Е на рис. 1 в логической форме (в четкой логике) может быть задана в виде ФАЛ (функция алгебры логики)
Ф (qn, qj2 £ о ) = А qjrl С2), (3)
где £ 0 - условия, при которых начинается и успешно завершается процедура «2-го круга»; V - дизъюнкция конъюнкций; А - конъюнкция признаков состояний, характеризующих
г 2 ]Т\
цепь функционирования элементов.
Схема рис. 1 отражает последовательное соединение элементов, поэтому отказ в любом звене обозначает прерывание технологической цепочки. Согласно авиационным стандартам для РЛЭ [1] в системе никакие произвольные прерывания функционирования любых элементов недопустимы. Только тогда обеспечивается необходимый уровень безопасности системы. Поэтому и полет с отклонениями в режиме «2-го круга» должен прекращаться в любой нерасчетной точке с уходом вполне определенным способом в резервный режим, чтобы не допустить аварии.
Однако в РЛЭ [4] указаны критические элементы: это е4 (), е5 (q5) , е6 (q6 ) и др. При этом е4 и q4^ обозначают управление полетом ВС с помощью автопилота или ручного пилотирования (режим РП). Только тогда происходит переход в состояние е5 и , е6 и и т.д. В этих состояниях также возможно возникновение по РЛЭ допустимого, но опасного разветвления процесса, которое на рис. 1 не указано, но представлено в РЛЭ. Именно с учетом этого обстоятельства могут быть найдены разветвления процесса в схеме технологии на рис. 1. Здесь могут возникнуть альтернативные пути, ведущие либо к «штатному приземлению», либо «к катастрофе». Выше в картеже (1) было показано по РЛЭ, что на ВС В-737 имеются 2 автопилота и резервный режим управления штурвалом. На этом основании критический элемент № 4 на рис. 1 может быть представлен в четкой логической форме (по четкой логике) в виде функции алгебры логики (ФАЛ) для выходного результата с помощью логической переменной у, задающей ФАЛ через Q :
= а ла2 л в; q1 =а1 ла2 л в; Ч2 = а л а2 л в; ц3 = а2 л а2 л в;
q4 =а1 ла2 л в; = а ла2 л в ; q6 =а1 ла2 л в • (4)
ФАЛ У для множества альтернатив будет
у = Ф ( Vq 1) = Ф(а1 ла2 л в) V (ах ла2 л в), (5)
где знак (...) - отрицание функциональности.
На основе (4) может быть построена структурно-сложная схема элемента надежности е4 с избыточностью из картежа (1). Всего будет 8 комбинаций, что определяет значение вероятностного показателя надежности (работоспособности). Схема представлена на рис. 2.
Однако представленная избыточность никакого отношения не имеет к показателю безопасности, т.к. любой показатель безопасности всегда определяется по ИКАО через последствия отказов.
Рис. 2. Схема соединения элементов надежности в модуле 3
Выходной логический результат, определяемый в виде выходной логической переменной У модуля 4 (рис. 1) с инструментами (1) в виде "У " - "функция есть, сигнал проходит", будет иметь вид функции алгебры логики от элементов модуля 4 на рис. 2:
у = (а1 ла2) V (а1 ла2)V (а1 ла2)Vв ^ У = 0 ("отказа нет"); (6)
у = (а1 ла2) л в = 1 - "полный функциональный отказ" е4 ,
где Л - знаки конъюнкций; V - дизъюнкция; (- отрицание.
Как известно, традиционно с помощью таких схем оценивается вероятность существования найденного состояния. Но из постановки задачи вытекает, что это не имеет никакого смысла, т.к. главное проактивно определить физически в конкретной системе (как это было в ситуации с ВС в казанской авиакомпании) только результат одного вида: имеет здесь место «отказ» или «неотказ».
Избыточность такого типа, как было отмечено выше, повышает надежность, но совершено не влияет на уровень функциональности или качества функционирования. Поэтому из рис. 1
следует, что («рано или поздно») может возникнуть отказ всего функционального элемента е4 . Поэтому надо рассматривать всего 2 варианта функционирования типа: «сигнал проходит» (неотказ), «сигнал не проходит» (отказ).
Из этого следует, что избыточную структуру рис. 2 для е1 можно упростить. Согласно теореме Де Моргана схема функциональности на рис. 1 может быть преобразована с помощью ФАЛ.
С учетом свойства идемпотентности логических элементов e¡,qj(i) после преобразования по теореме Де Моргана [6] будет
У = ^, : 7(0) = 0 - «норма», = 1 - «отказ». (7)
В результате модуль 4 (из рис. 1 в форме рис. 2 эквивалентно преобразуется на основе (5), (6) в разветвленную схему на рис. 3.
Рис. 3. Эквивалентная схема управления «нештатная» с разветвлениями в модуле 3
Физически у(1) = 1 в (5) обозначает отсутствие пилотирования на ВС, т.е. несрабатывание модуля 4 на схеме рис. 1. Из этого следует, что найдена точка непредвиденного разветвления процесса. Но это уже является системной ошибкой штатной технологии, которая нарушается по причине негативного последствия от проявления человеческого фактора (ЧФ) в виде «отказ» КВС перейти к РП (к в - по правилам рис. 1, 2).
Реальная (на основе имеющихся в Интернет сведений) схема технологии управления ВС имеет вид, представленный первоначально в виде разветвлений на рис. 3, где показан путь к катастрофе через модуль 4 на рис. 4.
Рис. 4. Вариант непредвиденного РП в ситуации с ВС «а/к Казань» (гипотетически - по Интернет)
Сверка схемы на рис. 4 с той версией расследования катастрофы в "а/к Казань", которая была представлена в Интернет [4], показала совпадение причин.
Подобный анализ может быть продолжен и распространен и на другие модули штатной схемы рис. 1, если будет получена достоверная информация, например из утвержденного РЛЭ для ВС В-737. Значения уровня риска могут быть найдены с помощью матрицы NASA для оценки рисков из [2; 4; 6].
Полученные результаты также показывают, что существенно снизить риски возникновения аварий не удастся без дополнительного широкого и функционального вмешательства служб системы УВД в процессы контроля полета ВС. Так, возможное проактивное по ИКАО (NASA) управляющее воздействие U4 (в модуле 4) может быть найдено по коду состояния этого модуля
U4 = f (d (r(1))), (8)
где d (у(1)) - код функционального состояния модуля e4 по булевой переменной (/()) , которая в данной технологии определяет («разрешает», к сожалению) недопустимое по функциям и по требованиям безопасности полетов критическое разветвление процесса «ручного пилотирования» в принятой технологической схеме « 2-го круга».
Смысл предложенного здесь предиктивного управления U4, найденного при анализе системных ошибок в технологии «2-го круга» для данного типа ВС, состоит в том, чтобы прервать первичную регламентируемую процедуру «ухода ВС на 2-й круг» и перевести неконтролируемый опасный полет ВС в резервный безопасный режим. Этот режим должен быть предусмотрен (и сконструирован) заранее в схеме на рис.1.
Необходимое управление U4 будет заключаться в модификации всей технологии управления ВС заранее (предиктивно) путем применения функций модуля e4 по «коду d (/(1)) », который автоматически формируется на борту ВС при заданной типовой технологии, согласно РЛЭ. Этот код может быть также автоматически передан в наземную часть системы УВД (диспетчеру) по каналу вторичной радиолокации. При этом появляется возможность для служб УВД своевременно вмешаться в работу экипажа ВС (резервные каналы для подобных операций могут быть найдены, если используется система авиационных коммуникаций типа «ACARS-380»). Можно также отметить, что информационное поле «черных ящиков» для ВС типа В-737 столь обширно, что место еще для одного или нескольких каналов связи для дополнительных резервных операций системы УВД вполне может быть найдено.
Заключение
По существу, в статье представлена совершено новая схема оценивания безопасности полетов [6] в рамках методологии нечетких множеств (Fuzzy Sets) на основе анализа физических возможностей существования в системах функциональных свойств (функциональности каналов
обработки и пропускания сигналов по линиям связи всех процедур из штатных технологий управления полетом ВС). Для этого не требуется применение вероятностного анализа и показателей свойств безотказности отдельных элементов. Необходимо произвести всего лишь анализ только функциональных свойств, интегрированных комплексом подсистем ВС любых типов. Это и есть идеология управления рисками, являющимися мерой опасности в системах с редкими рисковыми событиями.
Рекомендации Annex-19 о применении нового подхода к управлению рисками по способам «проактивных» и «предиктивных» процедур следует признать достаточно эффективными. Так, здесь без применения вероятностного анализа безопасности (ВАБ), как принято в классической ТН, удалось четко, т.е. без неопределенности, выявить ключевые критические элементы в технологиях управления полетом, построенных в рамках четкой логики.
Неопределенные экспертные уровни рисков, которые, например, надо было найти до начала полетов казанского В-737, оцениваются априорно без статистики и только с помощью алгоритмов из Fuzzy Sets [5; 6], подтверждающих результаты [2].
При этом устанавливается еще один важный вывод, заключающийся в том, что безопасность полетов достигается не возрастом Боингов и других ВС, а системными ошибками, заложенными в конструкцию изделия на этапах проектирования и создания авиационной техники. Поэтому «старые Боинги» вполне разумно покупать, если они удобны для эксплуатации в выделенных нишах авиационных услуг. Только тогда возможно решение транспортных проблем перевозок, если других подходящих самолетов не существует.
Очевидно, что для такого выбора нужны иные, кроме «возраста», критерии, например, связанные с показателями безопасности полетов, и другие, обеспечивающие прежде всего необходимые функциональные свойства.
ЛИТЕРАТУРА
1. Doc. 9859, AN1/460. Руководство по обеспечению безопасности полетов (РУБП) / пер. с англ. - изд. 3-е.
- Монреаль: ИКАО, - М.: Минтранс РФ, 2013.
2. Информация по совещанию в Брюсселе по факторам риска в отношении безопасности полетов «При уходе на второй круг» в 2013 г. Брюссель. [Электронный ресурс]. URL: http://shpls.org/labour-2/safe-aviation/1508-aevt-2013 -835zapiska-gn-matveeva-ob-analize-mirovoj -praktiki-intsidentov-pri-ukhode-na-vtoroj -krug.
3. ECAST, Component of ESSI, European Strategic Safety Initiative. Руководство по идентификации опасности (Динамические методы моделирование), 2012.
4. Катастрофа ВС «B-737» в ситуации с ВС «а/к Казань». [Электронный ресурс]. URL: http://www.mak.ru/ раздел расследования.
5. Смуров М.Ю., Куклев Е.А., Евдокимов В.Г., Гипич Г.Н. Безопасность полетов воздушных судов гражданской авиации с учетом рисков возникновения негативных событий // Транспорт Российской Федерации. - 2012.
- №1(38). - С.54-58.
6. Гипич Г.Н., Евдокимов В.Г., Куклев Е.А., Шапкин В.С. Риски и безопасность авиационных систем: монография. - М.: «ИНСОФТ», 2013.
7. Руководство по летной эксплуатации для ВС «B-737». РЛЭ. [Электронный ресурс]. URL: http://arhangelsk-nord.ucoz.ru/_ld/0/46_Boeing737-300-4.pdf.
DINAMIC SIMULATION METHOD FOR THE ANALYSIS OF RISK EVENTS AND DANER SCENARIOS OF AIRCRAFT LANDING BY «GO AROUND»
Kuklev E.A., Mihalchevskiy Yu.Yu., Smurov M.Yu.
The ways of constructing the processes of change in discreet states of the «Crew-Aircraft-Medium-ATC» system in modeling the technology of operating the aircraft after the crew have taken the decision «Go around» as recommended by a controller.
Keywords: danger technical states of aircraft, hazard, risk events, risk.
Сведения об авторах
Куклев Евгений Алексеевич, 1934 г.р., окончил КАИ (1958), профессор, доктор технических наук, заведующий кафедрой механики СПб ГУГА, директор центра экспертизы СПб ГУТА, автор более 250 научных работ, область научных интересов - риски и управление безопасностью систем, динамика полетов ВС.
Михальчевский Юрий Юрьевич, 1961 г.р., окончил ОЛАГА (1984), проректор по дополнительному профессиональному образованию и международным связям СПб ГУГА, директор авиационного учебного центра СПб ГУГА, заведующий кафедрой управления воздушным движением СПб ГУГА, автор 18 научных работ, область научных интересов - ОрВД, летные тренажеры.
Смуров Михаил Юрьевич, 1951 г.р., окончил Механический институт (Военмех им. Д.Ф. Устинова) (1973), профессор, доктор технических наук, ректор СПб ГУГА, заведующий кафедрой бизнеса и финансов СПб ГУГА, автор более 100 научных работ, область научных интересов - эксплуатация воздушного транспорта, безопасность полетов.
